Энциклопедия компьютерных вирусов
Win95.MarkJ
Резидентный Windows95-вирус: инсталлирует себя в память Windows95 и заражает открываемые PE EXE-файлы. Никак не проявляется. Содержит строки:
Happy Birth Day to Mark J From Murkry MarkJ_I
При запуске зараженного файла управление получает код процедуры инсталляции вируса, которая копирует вирус в неспользуемый блок памяти в ядре Windows (данные VMM), перехватывает IFS API и затем заражает PE-файлы при их открытии. При заражении вирус создает новую секцию в конце файла, записывает туда свой код и записывает свою процедуру инсталляции (46 байт) в PE-заголовок. Для исполнения своего кода в Ring0 (при перехвате IFS API) вирус использует неочевидный прием: он правит PE-заголовок таким образом, что загрузчик Windows95 копирует и выполняет часть кода вируса в блоке VMM по адресу C0000000h. Windows95 не защищает эту область Ring0, по этой причине в ней разрешена запись и даже более того - загрузка и выполнение секций PE-файлов, и вирус использует эту "особенность" защиты Windows95.
